Condividi tramite

Gestire Il controllo delle applicazioni di Windows Defender per Azure locale, versione 23H2

  • Articolo

Si applica a: Locale di Azure, versione 23H2

Questo articolo descrive come usare Windows Defender Application Control (WDAC) per ridurre la superficie di attacco di Azure Local. Per altre informazioni, vedere Gestire le impostazioni di sicurezza di base in Locale di Azure, versione 23H2.

Prerequisiti

Prima di iniziare, assicurarsi di avere accesso a un'istanza locale di Azure, versione 23H2 distribuita, registrata e connessa ad Azure.

Visualizzare le impostazioni WDAC tramite portale di Azure

Per visualizzare le impostazioni WDAC nel portale di Azure, assicurarsi di aver applicato l'iniziativa MCSB. Per altre informazioni, vedere Applicare l'iniziativa Microsoft Cloud Security Benchmark.

È possibile usare i criteri WDAC per controllare quali driver e app possono essere eseguiti nel sistema. È possibile visualizzare solo le impostazioni WDAC tramite portale di Azure. Per gestire le impostazioni, vedere Gestire le impostazioni WDAC con PowerShell.

Screenshot che mostra la pagina Controllo applicazione (WDAC) in portale di Azure.

Gestire le impostazioni WDAC con PowerShell

Abilitare le modalità dei criteri WDAC

È possibile abilitare WDAC durante o dopo la distribuzione. Usare PowerShell per abilitare o disabilitare WDAC dopo la distribuzione.

Connettersi a uno dei computer e usare i cmdlet seguenti per abilitare il criterio WDAC desiderato in modalità "Audit" o "Enforced".

In questa versione di compilazione sono disponibili due cmdlet:

  • Enable-AsWdacPolicy : influisce su tutti i nodi del cluster.
  • Enable-ASLocalWDACPolicy - Influisce solo sul nodo in cui viene eseguito il cmdlet.

A seconda del caso d'uso, è necessario eseguire una modifica globale del cluster o una modifica del nodo locale.

Questa operazione è utile quando:

  • Si è iniziato con le impostazioni predefinite consigliate.
  • È necessario installare o eseguire un nuovo software di terze parti. È possibile cambiare le modalità dei criteri per creare un criterio supplementare.
  • Si è iniziato con WDAC disabilitato durante la distribuzione e ora si vuole abilitare WDAC per aumentare la protezione della sicurezza o per verificare che il software venga eseguito correttamente.
  • Il software o gli script sono bloccati da WDAC. In questo caso è possibile usare la modalità di controllo per comprendere e risolvere il problema.

Nota

Quando l'applicazione è bloccata, WDAC crea un evento corrispondente. Esaminare il registro eventi per informazioni dettagliate sui criteri che bloccano l'applicazione. Per altre informazioni, vedere la Guida operativa al controllo delle applicazioni di Windows Defender.

Cambiare le modalità dei criteri WDAC

Seguire questa procedura per passare da una modalità di criteri di Controllo delle applicazioni di Windows Defender all'altra. Questi comandi di PowerShell interagiscono con Orchestrator per abilitare le modalità selezionate.

  1. Connettersi al computer locale di Azure.

  2. Eseguire il comando di PowerShell seguente usando le credenziali di amministratore locale o l'utente di distribuzione (AzureStackLCMUser).

  3. Eseguire il cmdlet seguente per controllare la modalità dei criteri WDAC attualmente abilitata:

    Get-AsWdacPolicyMode

    Questo cmdlet restituisce Audit o Enforced Mode per Node.

  4. Eseguire il cmdlet seguente per cambiare la modalità dei criteri:

    Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>

    Ad esempio, per impostare la modalità dei criteri su controlla, eseguire:

    Enable-AsWdacPolicy -Mode Audit

    Avviso

    L'agente di orchestrazione richiederà fino a due o tre minuti per passare alla modalità selezionata.

  5. Eseguire Get-ASWDACPolicyMode di nuovo per verificare che la modalità dei criteri sia aggiornata.

    Get-AsWdacPolicyMode

    Ecco un output di esempio di questi cmdlet:

    PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Enforced.
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Enforced.

NodeName     PolicyMode
--------     ----------
Node01 	Enforced
Node01 	Enforced

PS C:\> Enable-AsWdacPolicy -Mode Audit
WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode.
6826fbf2-cb00-450e-ba08-ac24da6df4aa

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Audit.
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Audit.

NodeName     PolicyMode
--------     ----------
Node01 	Audit
Node01	Audit

Creare un criterio WDAC per abilitare il software di terze parti

Durante l'uso di WDAC in modalità di imposizione, per l'esecuzione del software non firmato da Microsoft, basarsi sui criteri di base forniti da Microsoft creando un criterio supplementare WDAC. Altre informazioni sono disponibili nella documentazione pubblica di WDAC.

Nota

Per eseguire o installare un nuovo software, potrebbe essere necessario passare prima WDAC alla modalità di controllo (vedere i passaggi precedenti), installare il software, verificare che funzioni correttamente, creare il nuovo criterio supplementare e quindi tornare WDAC alla modalità applicata.

Creare un nuovo criterio in Formato di criteri multipli, come illustrato di seguito. Add-ASWDACSupplementalPolicy -Path Policy.xml Usare quindi per convertirlo in un criterio supplementare e distribuirlo tra i nodi del cluster.

Creare un criterio supplementare di Controllo delle applicazioni di Windows Defender

Per creare un criterio supplementare, seguire questa procedura:

  1. Prima di iniziare, installare il software che verrà coperto dai criteri supplementari nella propria directory. Va bene se ci sono sottodirectory. Quando si creano i criteri supplementari, è necessario fornire una directory da analizzare e non si vuole che i criteri supplementari coprono tutto il codice nel sistema. In questo esempio questa directory è C:\software\codetoscan.

  2. Dopo aver creato tutto il software, eseguire il comando seguente per creare i criteri supplementari. Usare un nome di criteri univoco per identificarlo.

    New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan

  3. Eseguire il cmdlet seguente per modificare i metadati dei criteri supplementari:

    
 # Path of new created XML)
 $policyPath = "c:\wdac\Contoso-policy.xml"

# Set Policy Version (VersionEx in the XML file)
 $policyVersion = "1.0.0.1"
 Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion

 # Set Policy Info (PolicyName, PolicyID in the XML file)
 Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"

  4. Eseguire il cmdlet seguente per distribuire i criteri:

    Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml

  5. Eseguire il cmdlet seguente per controllare lo stato dei nuovi criteri:

    Get-ASLocalWDACPolicyInfo

    Ecco un output di esempio di questi cmdlet:

    C:\> Get-ASLocalWDACPolicyInfo

NodeName          : Node01
PolicyMode        : Enforced
PolicyGuid        : {A6368F66-E2C9-4AA2-AB79-8743F6597683}
PolicyName        : AS_Base_Policy
PolicyVersion     : AS_Base_Policy_1.1.4.0
PolicyScope       : Kernel & User
MicrosoftProvided : True
LastTimeApplied   : 10/26/2023 11:14:24 AM

NodeName          : Node01
PolicyMode        : Enforced
PolicyGuid        : {2112036A-74E9-47DC-A016-F126297A3427}
PolicyName        : Contoso-Policy
PolicyVersion     : Contoso-Policy_1.0.0.1
PolicyScope       : Kernel & User
MicrosoftProvided : False
LastTimeApplied   : 10/26/2023 11:14:24 AM

Passaggi successivi